1 週間以上オフラインのコンピューターを起動すると OS 起動直後の数分間 NAP ポリシー非準拠と判定される

適用対象: Windows 7 EnterpriseWindows 7 ProfessionalWindows 7 Ultimate

現象


次の条件を満たした場合、 OS 起動直後の数分間、コンピューターは NAP ポリシー非準拠と判定される現象が発生します。

・ NAP 環境で WSHA (Windows セキュリティ正常性エージェント) を使用しています。
・ 最後にポリシー準拠と判定されてから 1 週間以上の間シャットダウンしていたコンピューターを起動し、ネットワークに接続します。

この場合、OS 起動直後の数分間、コンピューターは NAP ポリシー非準拠と判定されてネットワークから隔離されます。

原因


この現象は、Windows 標準 SHA の SoH (正常性ステートメント) のキャッシュの有効期限が 1 週間であることに起因して発生します。

解決方法


この現象は製品の想定通りの動作であり、変更することはできません。 

詳細


WSHA では、Security Center サービス、Windows Update サービスから情報を取得して SoH を作成します。

OS 起動直後においては、Security Center サービス、Windows Update サービスの起動が完了するまでに数分を要し、NAP Agent サービスが先に起動する場合があります。

この際、NAP Agent は最後に使用された SoH のキャッシュを使用してポリシー準拠の判定要求を NPS サーバーに送信します。最後に作成された SoH が NPS サーバーで構成するポリシーを満たすものであれば、Security Center サービス、Windows Update サービスの起動を待たずにポリシー準拠と判定され、正常ネットワークに接続することができます。

しかしながら、SoH のキャッシュの有効期限は既定で 1 週間で設定されており、この値を変更することができません。

このため、最後にポリシー準拠と判定されて SoH が作成されてから 1 週間以上 OS をシャットダウンしていた場合、次回の OS 起動時には有効な SoH のキャッシュを使用することができません。

この場合、Security Center サービス、Windows Update サービスの起動が完了し、WSHA がセキュリティ状態を正しく取得できるまでの間の数分間、コンピューターはポリシー非準拠と判定され、検疫ネットワークに隔離される結果となります。